En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookie.
J'accepte.En savoir plus, paramétrer et ou s'opposer à ces cookies.
 
 

Les avocats du net

 
 


 

Actualités

mardi 07 mai 2019
Facebook Viadeo Linkedin

Le Conseil d’Etat confirme la proportionnalité d’une sanction de la Cnil

 

La Cnil avait infligé une sanction pécuniaire de 75 000 €, avec publication de sa décision contre une association qui avait tardé à corriger un défaut de sécurité. Dans sa décision du 17 avril 2019, le Conseil d’Etat a considéré qu’« eu égard à la nature et à la gravité du manquement constaté qu’il aurait été possible de prévenir par des mesures simples de sécurité, comme l’occultation des chemins d’accès aux dossiers enregistrés ou l’authentification des utilisateurs du traitement, aux moyens importants dont dispose l’association et au délai avec lequel elle a apporté les mesures correctrices de nature à remédier à ce manquement, la formation restreinte de la Cnil n’a pas infligé à l’Adef une sanction disproportionnée ».
La Cnil avait été alertée de l’existence d’un défaut de sécurité permettant à des tiers non autorisés d’accéder aux données personnelles des personnes sollicitant les services de l’Association pour le développement des foyers (Adef). Il s’agissait d’un défaut du formulaire en ligne de demande de logement pour les bénéficiaires des prestations offertes par l’association. En modifiant des liens URL correspondants, un tiers à l’association pouvait accéder sans droit aux documents téléchargés par les demandeurs de logement : bulletins de salaire, avis d’imposition, justificatifs d’identité qui contiennent tous des données personnelles. Après un contrôle en ligne, la Cnil avait mis en demeure l’association de corriger le problème. Après plusieurs demandes infructueuses, la Cnil avait procédé à une mission de contrôle sur place et avait constaté que le défaut de sécurité n’avait toujours pas été corrigé. Une semaine après, l’Adef avait enfin fait le nécessaire. Mais cela n’a pas empêché la Cnil de la sanctionner, eu égard à la gravité des faits constatés et du manque de diligence pour y remédier.